-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 JPCERT-WR-2012-2301 JPCERT/CC 2012-06-20 <<< JPCERT/CC WEEKLY REPORT 2012-06-20 >>> ―――――――――――――――――――――――――――――――――――――― ■06/10(日)〜06/16(土) のセキュリティ関連情報 ―――――――――――――――――――――――――――――――――――――― == 目 次 ================================================================== 【1】Microsoft 製品に複数の脆弱性 【2】Adobe Flash Player に複数の脆弱性 【3】Oracle Java に複数の脆弱性 【4】MySQL に脆弱性 【5】Intel CPU で動作する 64bit OS や仮想化環境に権限昇格の脆弱性 【6】Dolphin Browser における WebView クラスに関する脆弱性 【今週のひとくちメモ】Android アプリ開発者向け情報 ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/ ※HTML 版および XML 版は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/2012/wr122301.html https://www.jpcert.or.jp/wr/2012/wr122301.xml ============================================================================ 【1】Microsoft 製品に複数の脆弱性 情報源 US-CERT Technical Cyber Security Alert TA12-164A Microsoft Updates for Multiple Vulnerabilities https://www.us-cert.gov/cas/techalerts/TA12-164A.html 概要 Microsoft の複数の製品には、脆弱性があります。結果として、遠隔の第三者 が任意のコードを実行したり、権限昇格を行ったりする可能性があります。 対象となる製品は以下の通りです。 - Microsoft Windows - Microsoft Internet Explorer - Microsoft .NET Framework - Microsoft Lync - Microsoft Dynamics AX この問題は、Microsoft Update などを用いて、セキュリティ更新プログラムを 適用することで解決します。詳細については、Microsoft が提供する情報を参 照して下さい。 関連文書 (日本語) Microsoft セキュリティ TechCenter 2012 年 6 月のセキュリティ情報 https://technet.microsoft.com/ja-jp/security/bulletin/ms12-jun Microsoft TechNet Blogs > 日本のセキュリティチーム 2012 年 6 月のセキュリティ情報 (月例) - MS12-036 〜 MS12-042 http://blogs.technet.com/b/jpsecurity/archive/2012/06/13/3503546.aspx 独立行政法人 情報処理推進機構 セキュリティセンター Internet Explorer の脆弱性の修正について (MS12-037)(CVE-2012-1875等) https://www.ipa.go.jp/security/ciadr/vul/20120613-ms.html 警察庁 @Police マイクロソフト社のセキュリティ修正プログラムについて(MS12-036,037,038,039,040,041,042) https://www.npa.go.jp/cyberpolice/topics/?seq=9601 Japan Vulnerability Notes JVNTA12-164A Microsoft 製品における複数の脆弱性に対するアップデート (緊急) https://jvn.jp/cert/JVNTA12-164A/index.html JPCERT/CC Alert 2012-06-13 JPCERT-AT-2012-0020 2012年6月 Microsoft セキュリティ情報 (緊急 3件含) に関する注意喚起 https://www.jpcert.or.jp/at/2012/at120020.html 【2】Adobe Flash Player に複数の脆弱性 情報源 US-CERT Current Activity Archive Adobe Releases Security Bulletin for Adobe Flash Player https://www.us-cert.gov/current/archive/2012/06/11/archive.html#adobe_releases_security_advisory_for15 概要 Adobe Flash Player には、複数の脆弱性があります。結果として、遠隔の第三 者が任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりする 可能性があります。 対象となるバージョンは以下の通りです。 - Adobe Flash Player 11.2.202.235 およびそれ以前の Windows 版、Macintosh 版、Linux 版 - Adobe Flash Player 11.1.115.8 およびそれ以前の Android 4.x 版 - Adobe Flash Player 11.1.111.9 およびそれ以前の Android 3.x 版、Android 2.x 版 この問題は、Adobe が提供する修正済みのバージョンに Adobe Flash Player をアップデートすることで解決します。詳細については、Adobe が提供する情 報を参照して下さい。 関連文書 (日本語) Adobe APSB12-14: Adobe Flash Player に関するセキュリティアップデート公開 http://kb2.adobe.com/jp/cps/937/cpsid_93754.html Japan Vulnerability Notes JVN#38163638 Flash Player における同一生成元ポリシー実装不備の脆弱性 https://jvn.jp/jp/JVN38163638/index.html 警察庁 @Police アドビシステムズ社の Adobe Flash Player のセキュリティ修正プログラムについて https://www.npa.go.jp/cyberpolice/topics/?seq=9579 JPCERT/CC Alert 2012-06-11 JPCERT-AT-2012-0019 Adobe Flash Player の脆弱性 (APSB12-14) に関する注意喚起 https://www.jpcert.or.jp/at/2012/at120019.html 関連文書 (英語) Adobe Seuciry Bulletin Security updates available for Adobe Flash Player http://www.adobe.com/support/security/bulletins/apsb12-14.html 【3】Oracle Java に複数の脆弱性 情報源 US-CERT Current Activity Archive Oracle Releases Critical Patch Update for June 2012 https://www.us-cert.gov/current/archive/2012/06/13/archive.html#oracle_releases_critical_patch_update19 概要 Oracle Java SE には、複数の脆弱性があります。結果として、遠隔の第三者が 任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりする可能 性があります。 対象となる製品およびバージョンは以下の通りです。 - JDK/JRE 7 Update 4 およびそれ以前 - JDK/JRE 6 Update 32 およびそれ以前 - JDK/JRE 5.0 Update 35 およびそれ以前 - SDK/JRE 1.4.2_37 およびそれ以前 - Java FX 2.1 およびそれ以前 この問題は、使用している OS のベンダや配布元が提供する修正済みのバージョ ンに該当する製品を更新することで解決します。 なお、JDK 5.0 系列、SDK 1.4.2 系列および SDK/JRE 1.3.1 系列はすでにサポー トが終了しています。最新の Java SE またはサポートのある製品への移行をお 勧めします。 関連文書 (日本語) Japan Vulnerability Notes JVNVU#162931 Java for Mac OS における複数の脆弱性に対するアップデート https://jvn.jp/cert/JVNVU162931/index.html 関連文書 (英語) Oracle Oracle Java SE Critical Patch Update Advisory - June 2012 http://www.oracle.com/technetwork/topics/security/javacpujun2012-1515912.html 【4】MySQL に脆弱性 情報源 JC3-CIRC Technical Bulletin U-188 MySQL User Login Security Bypass and Unspecified Vulnerability http://circ.jc3.doe.gov/bulletins/U-188.shtml 概要 MySQL には、認証が回避される脆弱性があります。結果として、遠隔の第三者 がデータベースにアクセスしたり、データを更新したりする可能性があります。 対象となるバージョンは以下の通りです。 - MySQL 5.x この問題は、使用している OS のベンダや配布元が提供する修正済みのバージョ ンに MySQL を更新することで解決します。 関連文書 (英語) Ubuntu USN-1467-1: MySQL vulnerabilities http://www.ubuntu.com/usn/usn-1467-1/ Novell CVE-2012-2122 http://support.novell.com/security/cve/CVE-2012-2122.html Debian CVE-2012-2122 http://security-tracker.debian.org/tracker/CVE-2012-2122 【5】Intel CPU で動作する 64bit OS や仮想化環境に権限昇格の脆弱性 情報源 US-CERT Vulnerability Note VU#649219 SYSRET 64-bit operating system privilege escalation vulnerability on Intel CPU hardware https://www.kb.cert.org/vuls/id/649219 概要 Intel CPU で動作する複数の 64bit OS や仮想化環境には、権限昇格の脆弱性 が存在します。結果として、一般ユーザによって特権を取得されたり、仮想化 環境においてゲスト OS 上からホスト OS を操作されたりする可能性がありま す。 影響を受ける製品は複数存在します。詳しくは各製品開発者が提供する情報を 参照してください。 関連文書 (日本語) Japan Vulnerability Notes JVNVU#649219 Intel CPU で動作する 64bit OS や仮想化環境に権限昇格の脆弱性 https://jvn.jp/cert/JVNVU649219/index.html 関連文書 (英語) Xen-announce Xen Security Advisory 7 (CVE-2012-0217) - PV privilege escalation http://lists.xen.org/archives/html/xen-announce/2012-06/msg00001.html FreeBSD Privilege escalation when returning from kernel http://security.freebsd.org/advisories/FreeBSD-SA-12:04.sysret.asc Microsoft Security Bulletin MS12-042 - Important Vulnerabilities in Windows Kernel Could Allow Elevation of Privilege (2711167) https://technet.microsoft.com/en-us/security/bulletin/MS12-042 Redhat Customer Portal Important: kernel security and bug fix update https://rhn.redhat.com/errata/RHSA-2012-0720.html Redhat Customer Portal Important: kernel security update https://rhn.redhat.com/errata/RHSA-2012-0721.html 【6】Dolphin Browser における WebView クラスに関する脆弱性 情報源 Japan Vulnerability Notes JVN#90751882 Dolphin Browser における WebView クラスに関する脆弱性 https://jvn.jp/jp/JVN90751882/index.html 概要 Android 端末用のウェブブラウザである Dolphin Browser HD および Dolphin for Pad には、WebView クラスに関する脆弱性が存在します。結果として、当 該製品のデータ領域にある情報が漏えいする可能性があります。 対象となるバージョンは以下の通りです。 - Dolphin Browser HD v7.6 より前のバージョン - Dolphin for Pad v1.0.1 より前のバージョン この問題は、開発者が提供する修正済みのバージョンに、該当する製品を更新 することで解決します。 関連文書 (日本語) Google Play Dolphin Browser HD https://play.google.com/store/apps/details?id=mobi.mgeek.TunnyBrowser Google Play Dolphin for Pad V1.0 Beta https://play.google.com/store/apps/details?id=com.dolphin.browser.pad ―――――――――――――――――――――――――――――――――――――― ■今週のひとくちメモ ―――――――――――――――――――――――――――――――――――――― ○Android アプリ開発者向け情報 Android アプリのアクセス制限不備に関連する脆弱性の届け出が増えています。 IPA では、Android の仕組みと届け出の多かった脆弱性の例を紹介する、 「『Androidアプリの脆弱性』に関するレポート」を公開しました。 また、日本スマートフォンセキュリティ協会 (JSSEC) では、セキュアコーディ ングのノウハウ集である「Android アプリのセキュア設計・セキュアコーディ ングガイド」を公開しました。 Android アプリの開発を行っている皆さんはぜひご一読ください。 参考文献 (日本語) 独立行政法人 情報処理推進機構 IPA テクニカルウォッチ『Androidアプリの脆弱性』に関するレポート https://www.ipa.go.jp/about/technicalwatch/20120613.html 日本スマートフォンセキュリティ協会 2012-06-11: 『Androidアプリのセキュア設計・セキュアコーディングガイド』【6月1日版】公開及びパブリックコメントを募集 http://www.jssec.org/news/index.html ―――――――――――――――――――――――――――――――――――――― ■JPCERT/CC からのお願い ―――――――――――――――――――――――――――――――――――――― ◇本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下の URL からご利用いただけます。 https://www.jpcert.or.jp/wr/ ◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス の変更などにつきましては、以下の URL を参照してください。 https://www.jpcert.or.jp/announce.html ◇JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL を参照してください。 https://www.jpcert.or.jp/form/ 以上。 __________ 2012 (C) JPCERT/CC -----BEGIN PGP SIGNATURE----- iQEcBAEBCAAGBQJP4SBNAAoJEDF9l6Rp7OBIVRkIAIA34GIrsGkjmUkQxRN4D5Ca qUPfP6O2rTa3kVtRfITt39b07cA/Z29w2rkjU+Chw6FMRDwSYH5Jb/IWqMW92oui n7pYK7qD/CqS0s1nd9gVWevNgLZYvGIDb0PpNlgkCq/0jmZNLAYFMtrrOoOTzr4k nRY8LmsIlj+Bxa4tRUeivyHrQtbuifB6Lxdxp6NGXhpxKguFiLXRfzotpkE/F2Hu 24a4O0AlS2ERHT6Yhhre3hHzdEYZCKuBetNlo+CiKI2jjnvSGnddzzMJzaZa4Wfc a/itMe8pPEspbCJIjWbP/gD2F/dpSOESmCY0SrZWKM9tWt106wg0DS9izWBDmLg= =/BWY -----END PGP SIGNATURE-----